Bài viết giải thích khái niệm lỗ hổng Zero-day (0-day), cơ chế khai thác, lý do chúng nguy hiểm, chương trình CVE và cách CVE ID hoạt động, đồng thời đưa ra danh sách biện pháp phòng ngừa và quy trình ứng phó sự cố cho doanh nghiệp.

Lỗ hổng Zero-day là gì? Thế nào là CVE?

Zero-day là gì?

Lỗ hổng zero-day (0-day vulnerability) là lỗi bảo mật tồn tại trong phần mềm hoặc phần cứng mà nhà cung cấp/đơn vị sở hữu chưa biết tới nên chưa có bản vá. Khi tội phạm mạng hoặc kẻ tấn công phát hiện và khai thác trước khi nhà cung cấp kịp khắc phục, ta gọi đó là zero-day exploit/attack.

Zero-day có thể xuất hiện ở nhiều môi trường: website, ứng dụng di động, hệ điều hành máy tính, thiết bị IoT, hệ thống mạng doanh nghiệp, dịch vụ cloud…

Phân biệt zero-day và n-day

• Zero-day: nhà cung cấp chưa biết, chưa có bản vá. Rủi ro cao vì giải pháp phòng vệ thường chưa sẵn sàng.
• n-day: lỗ hổng đã được công bố và thường đã có bản vá. Dù vậy, nếu hệ thống chưa kịp cập nhật, nguy cơ bị khai thác vẫn rất cao.

Thuật ngữ “zero-day” xuất phát từ “ngày 0” – thời điểm nhà cung cấp vừa biết tới lỗ hổng. Từ đó trở đi là cuộc chạy đua giữa vá lỗi và khai thác.

Vòng đời điển hình của zero-day

1. Phát hiện (bởi nhà nghiên cứu, hacker mũ trắng/đen, hoặc tình cờ).
2. Khai thác (viết mã exploit, tấn công mục tiêu).
3. Tiết lộ (có thể riêng tư cho nhà cung cấp, công bố có trách nhiệm, hoặc bị rò rỉ).
4. Phát hành bản vá (patch/hotfix) và thông báo.
5. Triển khai cập nhật (đến người dùng cuối; giai đoạn dễ bị tấn công nếu trì hoãn).

Vì sao lỗ hổng zero-day nguy hiểm?

• Chưa có bản vá: Giải pháp phòng vệ gần như chưa tồn tại tại thời điểm đầu.
• Tỷ lệ khai thác thành công cao: Do chữ ký nhận diện/chính sách chặn chưa được cập nhật.
• Phạm vi ảnh hưởng lớn: Nếu lỗ hổng nằm trong sản phẩm phổ biến, số nạn nhân tiềm năng có thể rất lớn.
• Khó phát hiện: Hành vi tấn công ban đầu có thể giống lưu lượng hợp lệ.

Lưu ý: Trong thực tế, phần lớn sự cố khai thác vẫn liên quan tới lỗ hổng đã công bố (n-day) nhưng chưa được vá kịp thời. Vì thế, kỷ luật cập nhật là yếu tố sống còn.

Thị trường zero-day hoạt động như thế nào?

Lỗ hổng zero-day có giá trị cao với nhiều bên: tin tặc, hãng phần mềm, cơ quan an ninh. Có ba “thị trường” chính:

Chợ đen (Black market)

Hacker mũ đen mua bán thông tin lỗ hổng/mã khai thác để xâm nhập hệ thống, đánh cắp dữ liệu, cài mã độc tống tiền… Giá có thể rất cao tùy mức độ phổ biến và mức nghiêm trọng.

White market (tiết lộ có trách nhiệm/Bug Bounty)

Nhà nghiên cứu báo lỗ hổng trực tiếp cho nhà cung cấp hoặc qua các nền tảng bug bounty (HackerOne, Bugcrowd, AZ Việt…). Sau khi xác minh và vá lỗi, họ nhận tiền thưởng tương xứng mức độ rủi ro.

Gray market

Mã khai thác được bán cho cơ quan tình báo/quốc phòng để phục vụ điều tra, giám sát hoặc an ninh quốc gia. Giao dịch thường kín và giá trị lớn.

Ghi chú đạo đức: Tiết lộ có trách nhiệm và bug bounty giúp hệ sinh thái an toàn hơn; chợ đen/gris tạo rủi ro lớn cho cộng đồng.

CVE là gì?

CVE (Common Vulnerabilities and Exposures) là chương trình gán định danh chuẩn cho các lỗ hổng đã biết, do MITRE điều phối cùng mạng lưới các tổ chức cấp mã (CNA). Mục tiêu: chuẩn hóa cách gọi tên lỗ hổng để mọi công cụ/nhà cung cấp có thể tham chiếu chéo đồng nhất.

CVE ID hoạt động ra sao?

• Định dạng: CVE-năm-số_thứ_tự (ví dụ: CVE-2025-12345).
• Khi lỗ hổng được xác nhận, một CNA sẽ cấp CVE ID và mô tả ngắn gọn, liên kết tới tài liệu tham khảo/bản vá.
• CVE không chấm điểm mức độ nghiêm trọng. Việc đánh giá rủi ro thường dùng CVSS (thang điểm do cộng đồng an ninh mạng sử dụng rộng rãi) hoặc khung đánh giá nội bộ của doanh nghiệp.

Có thể hiểu CVE là “sổ cái định danh”, còn CVSS là “thước đo rủi ro”. Cả hai giúp SOC/Blue Team ưu tiên vá lỗi hiệu quả.

Biện pháp giảm thiểu rủi ro zero-day

Không có biện pháp đơn lẻ nào triệt tiêu hoàn toàn zero-day. Cần phòng thủ nhiều lớp (defense-in-depth):

Cập nhật và quản trị bản vá (Patch & Vulnerability Management)

• Theo dõi thông báo bảo mật từ nhà cung cấp.
• Triển khai quy trình đánh giá – thử nghiệm – vá theo mức ưu tiên.
• Duy trì Inventory tài sản & phần mềm để biết cần vá ở đâu.

Tăng cường phòng thủ chủ động

• EDR/XDR trên endpoint và server để phát hiện hành vi bất thường.
• WAF bảo vệ ứng dụng web khỏi khai thác phổ biến (SQLi, RCE…).
• IDS/IPS giám sát và chặn xâm nhập.
• NAC (Network Access Control) phân đoạn mạng, cô lập thiết bị rủi ro.
• MFA & nguyên tắc tối thiểu quyền (Least Privilege) để giảm thiểu tác hại nếu bị xâm nhập.

Kiểm thử và giám sát liên tục

• Quét lỗ hổng định kỳ (vulnerability scanning) và kiểm thử xâm nhập (pentest).
• Giám sát log/SIEM và cảnh báo thời gian thực; thiết lập playbook phản ứng (IR Playbook).
• Sao lưu/khôi phục (backup) theo quy tắc 3-2-1 và kiểm tra khôi phục định kỳ.

Nâng cao nhận thức & quy trình

• Đào tạo nhận thức bảo mật cho nhân viên (phishing, macro, file lạ…).
• Quy trình công bố lỗ hổng (Vulnerability Disclosure Policy) để cộng đồng báo lỗi có trách nhiệm.

Giải pháp cho doanh nghiệp: Bug Bounty & đánh giá độc lập

Các công cụ quét tự động hữu ích nhưng khó theo kịp zero-day. Doanh nghiệp nên kết hợp:

• Chương trình Bug Bounty: Huy động cộng đồng chuyên gia/hacker mũ trắng kiểm thử liên tục; trả thưởng theo mức độ nghiêm trọng.
• Pentest định kỳ: Do đơn vị độc lập thực hiện, tập trung vào kịch bản tấn công có mục tiêu.
• Red Team/Blue Team Exercise: Diễn tập tấn công–phòng thủ để kiểm tra năng lực thực chiến.

Tại Việt Nam có các nền tảng hỗ trợ bug bounty/tiết lộ có trách nhiệm như AZ Việt, cùng nhiều đơn vị pentest uy tín. Doanh nghiệp có thể lựa chọn mô hình phù hợp quy mô và ngân sách.

Zero-day là cuộc chạy đua không hồi kết giữa kẻ tấn công và nhà phòng thủ. Hiểu đúng khái niệm, nắm rõ CVE/CVSS, xây dựng quy trình vá lỗi – giám sát – ứng phó, kết hợp bug bounty và đào tạo con người sẽ giúp doanh nghiệp giảm thiểu rủi ro đáng kể.

Hãy biến bảo mật thành quy trình liên tục, không phải chiến dịch ngắn hạn. Khi đó, zero-day sẽ bớt “đáng sợ” và hệ thống của bạn bền vững hơn trước các mối đe dọa mới.